Startseite verstellt sich immer auf http://cadabra.biz/

#0
27.04.2004, 14:49
...neu hier

Beiträge: 5
#1 moin moin,ich hab adawre spybot usw durchlaufen lassen kein erfolg.
auch cwshredder hat nicht geholfen.

hoffe ihr könnt mit helfen

--------
Logfile of HijackThis v1.97.7
Scan saved at 14:50:20, on 27.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
H:\Pop-Up Stopper\dpps2.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\el\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\System32\msxmlfilt.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38104.225625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D829E84-65E2-4CF7-88BA-E4C22964033F}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D829E84-65E2-4CF7-88BA-E4C22964033F}: NameServer = 217.237.150.225 194.25.2.129
Seitenanfang Seitenende
28.04.2004, 10:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Zuerst laedst du folgende Programme.
Lade den CWShredder (von dieser Site laden )
http://board.protecus.de/t9373.htm
Lade Search&Destroy ...updaten.
http://www.snapfiles.com/get/spybot.html
Lade AdAware....updaten.
http://download.com.com/3000-8022-10214379.html?tag=lst-3-8
Lade Antiviren-Tool:
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


Dann fixt du mit dem HijackThis folgendes und machst den Comp aus.


R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\System32\msxmlfilt.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe

Dann deaktivierst du die Wiederherstellung von XP ...wenn dann alles sauber ist, kannst du sie wieder aktivieren.

Dann scannst du im abgesicherten Modus (beim Hochfahren F8 druecken ) mit den geladenen Tools den Comp.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
C:\WINDOWS\win32.exe.....Trojaner !
Klicke in der Taskleiste auf Start|Ausführen. Suche im Windows-Ordner nach Win.ini und öffne die Datei in Notepad. Suche alle Verweise auf Win32.exe. Lösche die Verweise.

Suche dann nach der System.ini im Windows-Ordner und öffne die Datei in Notepad. Suche nach allen Verweisen auf Win32.exe. Lösche die Verweise.

Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen"
Mit der Suchfunktion die win32.exe finden und loeschen



--------------------------------------------------------------------------------------------------------------------------------------------------------------
dann machst du den Comp wieder aus und gehst ins normale Windows

dann ClearProg laden,,,den Browser saeubern und unter Internet-Optionen die Startseite neu einstellen.
http://www.clearprog.de/

Dann laedst den Antivirus:um den Trojaner auch in der Registry zu loeschen
Du musst den Virenscanner jeden Tag aktualisieren
http://www.free-av.com/

lade den Firefox als Zweitbrowser ...ist viel sicherer...die Updates vom InternetBrowser IE musst du dennoch immer machen
http://www.firebird-browser.de/

Wenn noch keine Firewall vorhanden...lade diese .(free)
http://smb.sygate.com/products/spf_standard.htm

Aktualisiere deine IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp



Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.04.2004 um 11:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.04.2004, 12:03
...neu hier

Themenstarter

Beiträge: 5
#3 danke es hat geklappt,

einige dateien liessen sich leider nicht desinfizieren da in gebrauch

winlogon.exe
service.exe
lsass.exe

ich hatte mir zusätzlich zu den trojanern auch noch w32/parite b eingefangen.
hab dann die platte in einen w98 rechner eingebaut und mit avp den rest klarmachen können

der trojaner der die startseite verstellt hat war

trojan.win32.StartPage.gh

danke für die hilfe und hier das neue log

-----

Logfile of HijackThis v1.97.7
Scan saved at 12:52:28, on 28.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPINST\Avpm.exe
C:\Programme\AVPINST\_Avpm.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\el\Desktop\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AvpMonitor] C:\PROGRA~1\AVPINST\AVPM.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38104.225625
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 28.04.2004 um 12:53 Uhr von net_rogue editiert.
Seitenanfang Seitenende
28.04.2004, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Wunderbar.
Nun vergiss nicht , den Firefox als Zweitbrowser ...ist viel sicherer...die Updates vom InternetBrowser IE musst du dennoch immer machen
http://www.firebird-browser.de/ und immer den Antivirus und den AdAware zu aktualisieren plus ab und an den Comp. zu scannen.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.04.2004 um 13:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.04.2004, 21:51
Moderator

Beiträge: 7804
#5 Zwei Sachen solltest du noch beachten. Dieser Eintrag muss noc raus:

O1 - Hosts: 213.159.117.235 auto.search.msn.com
und nicht nur dein IE ist nicht auf dem neusten Stand, auch dein XP ist es nicht. Besuche mal www.windowsupdate.com und installiere die dir dort angebotenen Patches.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.05.2004, 13:19
...neu hier

Beiträge: 1
#6 Hallo!
Ich hab ein sehr ähnliches Problem!
cwshredder hats auch nit lösen können.... und es sieht auch irgendwie anders aus als das oben geschilderte Problem!
Wäre riesid wenn mir da jemand helfen könnte!

Logfile of HijackThis v1.97.7
Scan saved at 12:57:54, on 12.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\GRAPHDLL.EXE
C:\PROGRAMME\IOMEGA\TOOLS\IMGICON.EXE
C:\WINDOWS\GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hotmail.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAMME\ISTBAR\ISTBAR.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\2.BIN\MYBAR.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Norton eMail Protect] C:\PROGRAMME\NORTON ANTIVIRUS\POProxy.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [asustweakenable] C:\PROGRAMME\ASUS\TWEAKING UTILITIES\ATWEAK.EXE /start
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [graphdll] C:\WINDOWS\SYSTEM\graphdll.exe
O4 - HKLM\..\Run: [mmsys] C:\WINDOWS\SYSTEM\MMGR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O4 - Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Iomega Disk Icons.lnk = C:\Programme\Iomega\Tools\IMGICON.EXE
O4 - Startup: Iomega Backup-Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtiom98.exe
O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f17737246e606/netzip/RdxIE601_de.cab

besten dank bereits jetzt!

ciao, tobi
Seitenanfang Seitenende
12.05.2004, 15:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Die Wiederherstellung deaktivieren (nach der Reinigung wieder aktivieren)


-----------------------------------------------------------------------------

Fixe mit dem HijackThis.


O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\PROGRAMME\ISTBAR\ISTBAR.DLL (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\2.BIN\MYBAR.DLL (file missing)

O4 - HKLM\..\Run: [asustweakenable] C:\PROGRAMME\ASUS\TWEAKING UTILITIES\ATWEAK.EXE /start
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [graphdll] C:\WINDOWS\SYSTEM\graphdll.exe
O4 - HKLM\..\Run: [mmsys] C:\WINDOWS\SYSTEM\MMGR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Iomega-Startoptionen.lnk = C:\Programme\Iomega\Tools\IMGSTART.EXE
O4 - Startup: QuikSync.lnk = C:\Programme\Iomega\QuikSync\QUIKSYNC.EXE
O4 - Startup: IomegaWare.lnk = C:\Programme\Iomega\Iomegaware\COMMANDER.EXE
O4 - Startup: ISDN Guard.lnk = C:\WINDOWS\GUARD.EXE

O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21cabb0f17737246e606/netzip/RdxIE601_de.cab


NEUSTARTEN

#Onlinescann
http://housecall.trendmicro.com/

#1)Lade folgende Programme, AKTUALISIEREN, SCANNEN

http://lavasoft.element5.com/german/support/download/
http://beam.to/spybotsd
http://www.spywareremove.com/


#mwav.exe laden, scannen und manuell loeschen, was er anzeigt
http://www.mwti.net/antivirus/free_utilities.asp

#Webwasher laden und den IE saeubern
Danach die Startseite neu einstellen unter InternetOptionen
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

#IE auf IE 6SP1 aktualisieren
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp

#Start<Programme#WindowsUpdate machen

Das Log nach der Reinigung noch einmal posten
MfG
Sabina





http://securityresponse.symantec.com/avcenter/venc/data/backdoor.loxoscam.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.05.2004 um 15:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.05.2004, 10:03
...neu hier

Beiträge: 5
#8 hallo zusammen...
ich habe ebenso das Problem mit cadabra.biz als Startseite, doch diese Seite springt auch ins Browserfenster, wenn ich im IE, High-Traffic Seiten wie ebay.de aufrufe, so dass ich so ziemlich keine Möglichkeit habe, diese Seiten noch zu besuchen...

Ich hoffe, ihr könnt mir helfen...

Gruss - Volker
_____________________________________________

Logfile of HijackThis v1.97.7
Scan saved at 09:58:51, on 19.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\PROGRAMME\COMMON FILES\UPDMGR\UPDMGR.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE
C:\WINDOWS\SVCHOST.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\GMT\GMT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SVCHOSTC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\WINOA386.MOD
D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://my-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 1089288654 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\PROGRAMME\GEMEINSAME DATEIEN\CMEII\CMESYS.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE639.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008k.com//f//10213/msits.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
Seitenanfang Seitenende
19.05.2004, 10:53
Member

Beiträge: 1095
#9 @Volkerracho
Willkommen an/im Board ;)

Führe mal das bitte durch und poste dann nochmal dein Logfile
http://www.rokop-security.de/main/article.php?sid=703

Fixe das In HiJAckThis
Alles mit R0 & R1
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 1089288654 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000001} - C:\WINDOWS\SYSTEM\MSXMLFILT.DLL
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O4 - HKLM\..\Run: [Online Service] C:\WINDOWS\System.exe
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKCU\..\Run: [svchost] C:\WINDOWS\SVCHOST.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\IMAGE.DLL,Install
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexDE639.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.008k.com//f//10213/msits.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
CAB
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.05.2004 um 11:15 Uhr von paff editiert.
Seitenanfang Seitenende
19.05.2004, 11:48
...neu hier

Beiträge: 5
#10 erstmal besten Dank für die schnelle Antwort und Lob an die dicke Portion an Know How ;-)
Gut, ich hatte deinen Entry gelesen, bevor du die Zeilen gepostet hast, was unter Hijack zu fixen wäre, daher hier nochmal eben nach Nutzung von Ad-Aware, Spybot und dem Shredder die Logfile von HijackThis

da jetzt dort einige Zeilen nicht mehr vorkommen, denke ich mal, dass sich dies mit dem Fixen bei denen dann eh erledigt hat und die anderen, von dir benannten, soll ich dann ganz normal unter Hijack fixen?

in jedem Falle jetzt schonmal vielen Dank

Gruss Volker
________________________________________________

Logfile of HijackThis v1.97.7
Scan saved at 11:45:09, on 19.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE
C:\PROGRAM FILES\ALTNET\POINTS MANAGER\POINTS MANAGER.EXE
C:\PROGRAM FILES\ALTNET\DOWNLOAD MANAGER\ASM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SVCHOSTC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\WINOA386.MOD
D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
Dieser Beitrag wurde am 19.05.2004 um 12:02 Uhr von Volkerracho editiert.
Seitenanfang Seitenende
19.05.2004, 12:08
Member

Beiträge: 1095
#11 Ok da haben die Progs schonmal gut aufgeräumt ;)

Was mich noch stört ist das
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL
Schau mal hier http://sarc.com/avcenter/venc/data/adware.mybar.html
Das ist ein ADWare
Wenn Möglich über Systemsteuerung/Software deinstallieren (My Way Speed Bar)
Wenn nicht, einfach den Eintrag fixen und Datei löschen

- HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
Das kommt meistens mit KaZaA. Man sollte Kazaa-lite benutzen
Such mal bei chip.de nach Kazaa-lite
Wenn du das Normale Kazaa behalten willst, einfach die beiden Einträge fixen.

Das hier noch fixen
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Virenscanner updaten und ganz durchlaufen lassen
Bitte neustart machen
Bitte dann nochmal log posten
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.05.2004 um 12:23 Uhr von paff editiert.
Seitenanfang Seitenende
19.05.2004, 14:18
...neu hier

Beiträge: 5
#12 So, da bin ich nochmal...
bin mal soweit auf deinen Tip eingegangen und werde mich dann gleich mal bei chip.de wg. Kazaa Lite umsehen. Habe die Standard Kazaa Version jetzt mal runtergehauen und in der Systemsteuerung/Software den 'My Search Bar' deinstalliert.
Die weiteren aufgeführten Punkte waren dann im Übrigen nach der Deinstallation von Kazaa auch vom Tisch, soweit ich dies festgestellt habe...
So, hier also nochmal nachfolgend das (hoffentlich bereinigte) Log

Gruß und besten Dank - Volker
____________________________________________________________

Logfile of HijackThis v1.97.7
Scan saved at 14:17:21, on 19.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SVCHOSTC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
Seitenanfang Seitenende
19.05.2004, 14:47
Member

Beiträge: 1095
#13 @volker

Hast du mal einen Neustart gemacht?
Wichtig, dann kann man sehen ob sich einige wieder eingetragen haben

Diese 2 Dateien hier sind sehr verdächtig
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SVCHOSTC.EXE

Check die mal hier
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.05.2004, 15:47
...neu hier

Beiträge: 5
#14 so, abschließend hat auch Kaspersky nix mehr an den beiden Dateien entdecken können...
Neustarts habe ich heute schon so einige hinter mir, allein durch diverse Install-Routinen, von daher kann ich deine Frage nach den Neustarts nur mit 'ja' beantworten und bedanke mich mit einem kurierten Rechner ;-)

Gruss Volker
Seitenanfang Seitenende
19.05.2004, 15:55
Member

Beiträge: 1095
#15 @volkerracho

Wenn's dir nix ausmacht, kannst du mir bitte die beiden Dateien schicken.
C:\WINDOWS\SVCHOSTS.EXE
C:\WINDOWS\SVCHOSTC.EXE

Einfach in ein zipfile und an mike_hangover@gozomail.com (Meine FakeEmail)
Will mir die mal anschauen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende